V2EX = way to explore V2EX 是一个关于分享和探索的地方
这是一个创建于 1009 天前的主题,其中的信息可能已经有所发展或是发生改变。
凉心云国内账号绑定 MFA 有些仅有微信小程序一种绑定方式,使得每次登录管理账号的步骤很烦:
掏出手->解锁->打开微信->""->扫一扫->对焦->"叮"->正在跳转->"123456"( TOTP 展示)->"123456"(敲键盘)。
尽管设置了七天扫描一次,但架不住两三台电脑上都得登,会话一过期就得在每台电脑重复一遍上面的流程。
迫于太繁琐,准备自己尝试搞一下 seed-code ,看到站内刚好有讨论,后来发现国际版直接允许使用第三方的虚拟 MFA 了,并且也不提供微信小程序绑定,很难不觉得是双标。
国内版客服给出的回复:
1.您好,确实非常抱歉给您带来了不便,目前腾讯云这边虚拟的 MFA 设备是由腾讯云助手小程序承载,所以是需要具备微信的。 2.确实非常抱歉,国际站建议您这边可以去咨询下国际站的客服,但是目前在咱们这边是需要有微信的 如果说出于保护账户安全的目的,小程序引入了一种牛 x 的身份验证机制那也行,可明明就一个标准 TOTP ( RFC 6238 ),何必非得强制绑定你微信小程序。
你这不是欺负老实人吗?
站内帖: t/815086
国内版: https://cloud.tencent.com/document/product/378/55649
国际版: https://www.tencentcloud.com/zh/document/product/378/32528
截图为证,含地址栏完整网址: 
第 1 条附言 2023-03-17 14:21:31 +08:00
@PabloZhong #17
PM 更新了进展和解决方案:目前可申请内测,很快将全量支持
PM 更新了进展和解决方案:目前可申请内测,很快将全量支持
 | 1 guoshim 2023-03-17 00:59:48 +08:00 能当外宾还是得当外宾。 |
 | 2 kingfalse 2023-03-17 01:23:00 +08:00 via Android  3 中国人专骗中国人,往大了说叫闭环,叫生态。 |
 | 3 AlphaTauriHonda 2023-03-17 04:49:04 +08:00 via iPhone 他就是要专门恶心你。 |
 | 4 billgong 2023-03-17 05:47:26 +08:00 呃绑定一个云端生成 OTP 的应用严格意义上来讲不算是 MFA 吧,毕竟第二因素( something you have )和第一因素( something you know )没有区别 第一因素密码泄漏,微信账户使用泄漏后的密码登录,第二因素也就泄漏了,就不能算是 something you have 了。到最后 knowledge possession inheritance 只实现了第一个,不算 MFA 嘛 |
 | 5 ltkun 2023-03-17 05:49:31 +08:00 via Android 关键为啥用良心云呢 |
 | 6 0o0O0o0O0o 2023-03-17 07:34:01 +08:00 via iPhone 昨天也被这个恶心到 |
 | 7 xuanbg 2023-03-17 07:57:46 +08:00 凉心好评 |
 | 8 cnfczn 2023-03-17 08:03:44 +08:00 via Android 腾讯是为了强推他的弱智圆形二维码,而且目前看还是只有腾讯周边的东西在用。 |
 | 9 lovelylain 2023-03-17 08:05:21 +08:00 via Android 国内不需要键盘输入吧,绑定微信,开通 MFA 也用同一个微信账号,登录的时候这个微信扫码登录,再手机上确认登录。 |
| 10 0o0O0o0O0o 2023-03-17 08:58:22 +08:00 via iPhone @jobmailcn 微信被封号咋办… |
 | 11 buxiaozisun 2023-03-17 09:12:48 +08:00 via Android 开通的时候可以去浏览器开发者那边找到 totp 密钥,就可以加到其他地方了 |
 | 12 livenpc OP @jobmailcn 需要手动输入,微信扫码后只是跳转到小程序"腾讯云助手"的一个名为"虚拟 MFA"子页面,甚至连长按复制都没提供。如图:  |
 | 13 nothingistrue 2023-03-17 09:42:15 +08:00 听起来像是微信要做一个对比 Microsoft Authenticator 或 Google Authenticator 的东西,但是技术水平不够,做不了既能脱离服务器做 MFA 应用又能连上服务器做同步密钥的东西,就简简单单弄一个云端虚拟 MFA 应用。这样糊弄出来的玩意,当然是没人愿意用得,当然就只能苦一苦内宾了。 |
 | 14 Citrus 2023-03-17 09:47:06 +08:00 via iPhone 1 其实不是云端虚拟 MFA ,就是把种子下发到本地。抓包把种子抓下来就行了,很简单。 |
| 15 livenpc OP @nothingistrue 微信小程序做的烂也就算了,关键是国内版用户没别的选,这才是最恶心的。 |
 | 16 PerFectTime 2023-03-17 10:11:29 +08:00 哈哈哈隔壁不是有 PM 吗?拉过来问啊 |
 | 17 PabloZhong 2023-03-17 11:12:36 +08:00 2 @PerFectTime 正好我在。内部看了下,马上可以全量支持 google mfa 和微软 mfa ,当前也可以申请开白提前体验。 |
| 18 0o0O0o0O0o 2023-03-17 11:17:31 +08:00 via iPhone @PabloZhong 在 V2EX 反馈真的管用( |
 | 19 summer2019 2023-03-17 11:21:24 +08:00 via iPhone 我是直接抓包小程序,把 TOTP 密钥抓出来了。。。 然后加到微软 Authenticator 里了 这设计属实是弱智 |
| 20 PabloZhong 2023-03-17 11:41:36 +08:00 @summer2019 要不一块来聊下这块的设计建议呗:) |
 | 21 joejhy 2023-03-17 12:03:05 +08:00 这个你可以找腾讯云的售后处理,之前我也搞过,一个工单建立桥梁,妥妥地,授权给他们去迁移就好啦~ |
 | 22 lhbc 2023-03-17 12:20:41 +08:00 @PabloZhong 支持 security key(比如 YubiKey)吗? |
 | 23 lovesky 2023-03-17 12:31:57 +08:00 这个设计确实太恶心了,我上周也刚体验过。建议尽快支持使用第三方 app 。 |
 | 24 j20001112 2023-03-17 12:44:31 +08:00 @PabloZhong 国外大学德勤会计事务所都是用的 duo mobile, 2FA 验证的时候直接发送一个 push 推送到 手机和手表, 推送长按就可以选择拒绝或者允许. 手表无需长按推送就能直接选择拒绝或者允许, 整个过程不需要 0.2 秒就能完成 https://images.app.goo.gl/AkvytZ8L4rwMy9Xi8 https://images.app.goo.gl/6hCJFgvkweoQMNQx9 |
 | 25 blessingsi 2023-03-17 13:02:14 +08:00 理解不了为啥会有这种行为。 产研付出了更多的研发成本(而且做这个功能的人和腾讯云小助手大概率不是一个团队),客服付出更多人力时间去擦屁股,用户得到了更差的产品体验。那么到底谁获益了呢? |
 | 26 kkk123 2023-03-17 13:25:10 +08:00 |
 | 27 liuxu 2023-03-17 13:33:08 +08:00 怎么说呢,不喜欢就别用,等客户流失率达到一个级别,他们自然就重视去掉了 顺便说下腾讯云账号用 qq 账号密码登录要点几下才能看到登录框你们都知道的吧 |
 | 28 mooyo 2023-03-17 13:37:00 +08:00 totp 有非常标准的方案,按照规范用 secret code 生成一个 URL ,然后转成二维码,auth app 扫码就能接入了。开发周期远小于搞个小程序。只能理解成纯粹的恶心人了。 |
| 30 livenpc OP @blessingsi #25 所有扫码登录的 APP ,结果都不可避免的抬高了 DAU 数据,即便最初的目的不是这个。 |
| 31 mooyo 2023-03-17 14:32:23 +08:00 @blessingsi #25 虽然人力成本和用户体验变差了,但是小程序的数据变好看了,下个晋级周期就能晋级了。 |
| 32 mooyo 2023-03-17 14:33:06 +08:00 @blessingsi #25 具体到个人来讲他并不承担增加的成本,也不 care 用户体验,但是数据的增长和自己的绩效晋升都是密切相关的。 |
 | 33 vibbow 2023-03-17 14:48:16 +08:00 我就是因为这个非标的 MFA 放弃了腾讯云... 每次登录还得拿手机,太麻烦了 |
| 34 livenpc OP 题外话:昨天第一次用 passkey ,在 cloudflare ,体验海星。不知道大厂们跟进的意愿有多强 |
 | 35 kaddusabagei38 2023-03-17 15:30:46 +08:00 @PabloZhong #17 你内部部署啥呢?最开始我记得那个 mfa 验证码就是 totp 的,我现在腾讯云还在用 google 验证器,你现在把这功能收回去了又打开,还说要内测,就在这硬玩是吧?你们也知道你们自己做基础设施的,结果啥玩意都绑定微信,就凭贵司微信乱封号那股劲儿,你自己想想是那么回事么? |
| 36 kaddusabagei38 2023-03-17 15:31:19 +08:00 不想做咱们可以不做,不想玩咱们可以不玩,直接发邮件告诉用户我是你爹不就行了 |
| 37 kaddusabagei38 2023-03-17 15:38:55 +08:00 我甚至可以把话放在这,你们这功能半年之内肯定上不了 |
 | 38 ThreeK 2023-03-17 15:56:46 +08:00 1 每次看到这种双标就恶心,外国公司单独对中国产品不召回就算了,毕竟可能敌对。国内公司还搞自己人。 放欧盟早给你罚死了。国内还在这狡辩个没完。 |
 | 39 FightPig 2023-03-17 15:58:34 +08:00 1 腾讯云登录真 tm 恶心的,以前绑定的用 qq 登录,现在好了,一用 qq 登录就让我打开手机 qq 点确认,以为一次就行了,结果 没两三天就要一次,说什么不安全, |
 | 40 luojianxhlxt 2023-03-17 16:48:23 +08:00 @PabloZhong #17 请问如何申请内测 |
 | 41 liuleixxxx 2023-03-17 17:06:15 +08:00 @luojianxhlxt 去提工单就好了 |
 | 42 gogogo2000 2023-03-17 17:33:26 +08:00 @vibbow MFA 本身是标准的 TOTP ,就是恶心你不给你 key ,所以无法直接绑定第三方的。实际上可以在微信上扫那个小程序码时抓包,其中就有 totp 的 key ,填到第三方里面去就可以搞定了。 |
| 43 livenpc OP tx 云国内版账号想要绑定第三方 MFA(TOTP)的解决方案(这不是本帖重点)目前有三个: 1. 自己抓包,获取 seed-code 2. 发起工单,申请内测 3. 等正式版更新 |
| 44 summer2019 2023-03-18 09:05:13 +08:00 via iPhone @PabloZhong 像阿里云一样,直接给一个标准的 TOTP 步骤就足够了。毕竟阿里云也没限制只能用客户端获取验证码。 而且腾讯云小程序用的,归根到底就是标准的 TOTP ,到头来整个微信专属二维码,还是恶心了用户 |
| 45 summer2019 2023-03-18 09:12:34 +08:00 via iPhone @PabloZhong 如果实在不想搞 TOTP ,那搞一个类似于微软的二步验证,体验也还不错。 直接让小程序弹一个通知,点进去选择电脑屏幕对应的数字,直接就能批准。 一来不用先点微信再进小程序再点 MFA 菜单,方便, 二来也确实标新立异得有理有据,不至于让人骂。 |
Select Language